| 1 |
1
NAND 플래시 메모리에서 동작하는 랜섬웨어 탐지 방법에 있어서,랜섬웨어에 감염되는 파일들을 분류하고 랜섬웨어 탐지를 위해 미리 정의된 모니터링 시간마다 상기 분류된 파일들과 동일한 매직넘버(magic number)를 갖는 파일들에 대해 주기적으로 IO 요청(IO request)을 모니터링하는 단계;모니터링된 IO 요청의 헤더(IO request header)의 분포에 기초하여, 읽기(read) 요청된 블록과 동일한 논리 블록 주소(LBA)를 가진 메모리 블록을 대상으로 덮어 쓰기(overwrite)가 발생했는지 여부를 확인하는 단계;상기 덮어 쓰기의 발생 여부 확인에 기초하여 상기 랜섬웨어의 동작 특성을 특정하기 위해 미리 정의된 복수 개의 특성(feature) 별로 덮어 쓰기(overwrite) 횟수를 카운팅하는 단계; 및카운팅된 상기 덮어 쓰기 횟수에 기초하여 랜섬웨어의 활동(activity) 여부를 탐지하는 단계;를 포함하는 랜섬웨어 탐지 방법
|
| 2 |
2
제1항에 있어서,상기 복수 개의 특성은, 미리 정의된 타임 슬라이스(times slice) 동안 발생한 덮어 쓰기(overwrite)의 횟수를 나타내는 OWIO, 상기 타임 슬라이스를 기반으로 하는 타임 윈도우(time window) 동안 발생한 쓰기 요청(write request)의 총 수 대비 덮어 쓰기(overwrite)가 발생한 블록의 비율을 나타내는 OWST, 타임 윈도우 동안 발생한 덮어 쓰기(overwrite)의 수를 나타내는 PWIO, 현재 타임 윈도우에서 연속적으로 덮어 쓰기가 발생한 블록(continuously overwritten block)의 평균 길이(length)를 나타내는 AVGWIO, 이전 타임 윈도우에서의 평균 덮어 쓰기(overwrite)의 개수 대 현재 타임 슬라이스(time slice)에서의 덮어 쓰기(overwrite)의 개수 간의 비율을 나타내는 OWSLOPE, 이전 타임 슬라이스에서의 평균 쓰기 횟수 대 현재 타임 슬라이스에서의 덮어 쓰기 횟수의 비율을 나타내는 IO를 포함하는 랜섬웨어 탐지 방법
|
| 3 |
3
제1항에 있어서,상기 NAND 플래시 메모리는 SSD(Solid State Drive)인 랜섬웨어 탐지 방법
|
| 4 |
4
제1항에 있어서,상기 랜섬웨어의 활동(activity) 여부를 탐지하는 단계에서는,서로 다른 다양한 종류의 랜섬웨어의 활동 기간(active period) 동안 수집된 복수 개의 IO 요청을 상기 복수 개의 특성(feature) 별로 학습됨에 따라 생성된 이진 의사 결정 트리(binary decision tree)를 기반으로 모니터링된 상기 IO 요청에 해당하는 블록에 발생한 덮어 쓰기(overwrite)가 랜섬웨어의 활동(activity)에 의한 것인지 여부를 탐지하는 랜섬웨어 탐지 방법
|
| 5 |
5
제4항에 있어서,상기 랜섬웨어의 활동(activity) 여부를 탐지하는 단계는,상기 복수 개의 특성(feature) 각각에 해당하는 특징값을 카운팅 테이블에 기초하여 계산하는 단계;계산된 상기 복수 개의 특성 별 특징값을 상기 이진 의사 결정 트리의 입력 파라미터로 설정하여 상기 랜섬웨어의 활동 여부를 나타내는 결과값을 획득하는 단계; 및획득된 결과값을 기반으로 상기 랜섬웨어가 활성 상태인지 여부를 결정하는 단계;를 포함하는 랜섬웨어 탐지 방법
|
| 6 |
6
제5항에 있어서,상기 결정하는 단계에서는,미리 지정된 타임 윈도우 동안 획득된 복수의 결과값을 합산하고, 합산된 결과값이 미리 지정된 임계값(threshold)보다 크면, 랜섬웨어가 활성 상태인 것으로 결정하는 랜섬웨어 탐지 방법
|
| 7 |
7
제1항에 있어서,상기 랜섬웨어의 활동(activity) 여부를 탐지하는 단계에서는,상기 모니터링된 IO 요청 별로 시간 정보, 논리 블록 주소(LBA) 정보, IO 모드(IO Mode) 정보, 및 길이(length) 정보가 연관하여 저장된 카운팅 테이블을 이용하여 상기 랜섬웨어의 활동 여부를 탐지하는 랜섬웨어 탐지 방법
|
| 8 |
8
제7항에 있어서,상기 카운팅 테이블은, 타임 슬라이스 동안 카운트된 상기 모니터링된 IO 요청의 횟수 및 상기 논리 블록 주소(LBA)에 기초하여 업데이트되는 랜섬웨어 탐지 방법
|
| 9 |
9
제7항에 있어서,상기 카운팅 테이블은, 미리 정의된 타임 윈도우 동안 상기 모니터링된 IO 요청 중 읽기(read) IO 요청과 동일한 논리 블록 주소(LBA)에 해당하는 쓰기(write) IO 요청을 선택적으로 저장하는 랜섬웨어 탐지 방법
|
| 10 |
10
NAND 플래시 메모리에서 동작하는 랜섬웨어 탐지 시스템에 있어서,랜섬웨어에 감염되는 파일들을 분류하고 랜섬웨어 탐지를 위해 미리 정의된 모니터링 시간마다 상기 분류된 파일들과 동일한 매직넘버(magic number)를 갖는 파일들에 대해 주기적으로 IO 요청(IO request)을 모니터링하는 모니터링부;모니터링된 IO 요청의 헤더(IO request header)의 분포에 기초하여, 읽기(read) 요청된 블록과 동일한 논리 블록 주소(LBA)를 가진 메모리 블록을 대상으로 덮어 쓰기(overwrite)가 발생했는지 여부를 확인하는 확인부;상기 덮어 쓰기의 발생 여부 확인에 기초하여 상기 랜섬웨어의 동작 특성을 특정하기 위해 미리 정의된 복수 개의 특성(feature) 별로 덮어 쓰기(overwrite) 횟수를 카운팅하는 카운팅부; 및카운팅된 상기 덮어 쓰기 횟수에 기초하여 랜섬웨어가 활성(activity) 상태인지 여부를 탐지하는 탐지부;를 포함하는 랜섬웨어 탐지 시스템
|
